SQUID acl+ntlm

Написал(а) slam Дата 17.04.09 06:55 Отредактировано 17.04.09 07:03

Есть win домен 2003, потихоньку перевожу некоторые сервисы на linux. Не буду разводить философию по поводу того: А почему везде винда и т.д... Вчера к вечеру настроил ntlm авторизацию в squid. Все круто работает, удобно, чтоб обламать (или дать) человеку инет достаточно убрать его членство в виндовой группе на контроллере домена. Прокси работает только у того, кто прошел авторизацию в домене, т.е. ни каких лишних логинов - паролей. В конфиге прописал:

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MYDOMAIN.LOCAL\\internetusers

где MYDOMAIN.LOCAL\\internetusers - это группа internetusers домена MYDOMAIN.LOCAL
Проблема в том что не знаю как придумать хороший и умный редирект. Дело в том, что редиректить все что мне не нравится нельзя, у меня есть отдел рекламы и им нельзя резать рапиду, депозит, а остальным "смертным" режу все контакты, однокласники, собутыльники и пр.

Можно ли как ни то заюзать в acl что нибудь типа этого

/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MYDOMAIN.LOCAL\\internetusers

чтоб пользователям определенных групп правила редиректа выставлялись по разному, а сами группы брались из хранилища домена ? В сети DHCP, поэтому по IP не получится разрулить.

Написал(а) LOE (Site/forum admin) Дата 17.04.09 17:40

А почему просто не заюзать редиректор? (тот-же режик)
Редиректору передается имя пользователя, на основании которого и можно настроить правила

Можно пойти дальше - по имени пользователя узнать группу, а по группе определить настройки редиректа.

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) Bercut Дата 21.04.09 06:49

потому что он хочет юзать исключительно винду для разодминивания
и не лезть лишний раз в настройки прокси
я понятно абисняю
:-)

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) LOE (Site/forum admin) Дата 21.04.09 08:44

Кто сказал, что редиректор не может хранить свои настройки и данные в том-же LDAP? ;-)

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) Bercut Дата 21.04.09 08:58

а вот это попробуйте ...
я то не пробовал ;-)

да такой случай подойдет если какследует всё настрополить то будет хорошо, да ..
я то в свое время, давно однако, настраивал в сквиде авторизацию через домен, через винбинд правда. пришлос самбу перекомпиливать, все вроде работало,
но вот из за всяких маленьких косячков, типа нельзя разграничить уровни доступа, не поперло это дело, а делал кстати на заказ, и тамошние человеколамероодмины снесли все нах и поставили туда венду

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) slam Дата 21.04.09 15:59

Ну дело не в том что я не хочу, а в том что я не один админ. Я один на linux строю и админю, все остальные используют винду. По этому по просьбе трудящихся, такая вот штука. А редиректор сам сейчас пишу, дело не хитрое по сути, запрос - ответ. С хранениями настроек в LDAP надо подумать, это мысль, но что то сомневаюсь. Уж больно мне кажется много запросов будет пролетать к хранилищу. Хотя если хранить информацию только о пользователях кому и что редиректить, то вполне сносно должно сработать, к тому же сеть не большая, примерно 100 ком.

Написал(а) Bercut Дата 21.04.09 16:38

э нет отдельно низзя
все должно быть в AD
в естественном виде, а не иначе отжиг будет не засчитан
да и че страшного то, ну позапрашивает оно DC делов то...
хотя изъебнуться и реализовать всё это дело с помощью кербероса да в нативном виде...
эх размечтался, тфу..

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) LOE (Site/forum admin) Дата 21.04.09 18:37

> Уж больно мне кажется много запросов будет пролетать к хранилищу

Кэшируй на некоторое время данные в памяти.

"No! Try not! Do. Or do not. There is no try." -- Yoda

Написал(а) Bercut Дата 21.04.09 06:51

если коротко то нельзя
только как олег советует или
запускать несколько сквидов

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) slam Дата 21.04.09 16:02

LOE прав с тем (да, он всегда прав :-)

), что режик умеет по пользователям редиректить с разными правилами. Но с LDAP идея кажется интересной.

Написал(а) Bercut Дата 21.04.09 16:40

ну вот сделай и доложи как оно там, да и чё

русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...

Написал(а) Blake-R Дата 07.05.09 14:06

Всё можно. Только изначальный подход неправильный, хоть и допустимый.

Корректнее так:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 15 auth_param ntlm keep_alive on auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic casesensitive off external_acl_type ldap_group children=15 %LOGIN /usr/libexec/squid/squid_ldap_group \ -S -K -R -b "dc=domain,dc=tdl" \ -f "(&(sAMAccountName=%u)(memberOf=cn=%g,ou=Users,dc=domain,dc=tdl))" \ -s sub -D <пользователь_LDAP> -w <пароль_пользователя_LDAP -h <domain.tdl> -p 3268 acl domain_users proxy_auth REQUIRED acl ordinaries external ldap_group Internet-Access acl superUsers external ldap_group Internet-FullAccess
Правила доступа должны включать выполнение проверки acl domain_users, например http_access allow domain_users superUsers CONNECT !SSL_ports http_access allow domain_users ordinaries
В приведённом выше примере участники доменной группы Internet-FullAccess будут иметь возможность соединяться методом CONNECT на любые порты, а участники Internet-Access - нет. Все участники Internet-FullAccess должны быть перечислены в группе Internet-Access, либо надо будет добавить правилоhttp_access allow domain_users superUsers
Теперь можно оперировать уже двумя группами пользователей Squid - ordinaries для всех пользователей и superUsers для пользователей с повышенными привилегиями. Можно и ещё групп добавить для удобства управления и сбора статистики. Ну, и уже на основе этих групп регулировать редиректор.

С наскока по этому посту сделать может и не получиться - надо подстраивать под реальные данные.